Der Volksmund sagt, dass jede Kette nur so stark ist wie ihr schwächstes Glied. Diese Weisheit lässt sich 1:1 auf wirklich jedes Unternehmen unter dem Aspekt von IT-Sicherheit im Allgemeinen und der Abwehr von Cybercrime im Speziellen anwenden.
Betrachtet man sich die Gesamtheit von Angriffen auf Unternehmen, dann sind es nur eher wenige Fälle, in denen versierte Kriminelle die von der IT-Abteilung errichteten Sicherheitshürden auf direkte Art überwinden. Deutlich häufiger tun sich deshalb Lücken in der Verteidigung auf, weil sich andere Mitarbeiter des Hauses entweder nicht korrekt verhielten oder ihr geringeres IT- und/oder Cybercrime-Wissen schamlos ausgenutzt wurde.
Gerade diese Menschen, die es in faktisch jedem Unternehmen gibt, müssen durch die IT oder externe Experten regelmäßig geschult und immer wieder sensibilisiert werden. Denn nur dann lässt sich eine „Sicherheitskette“ errichten, deren „Glieder“ alle gleichstark sind – wenigstens annähernd. Just heute sind die Gründe für diesen Aufwand mannigfaltig vorhanden.
1. Faktisch jeder Arbeitsplatz gehört zur IT
Fangen wir einmal mit dem wohl grundlegendsten Argument an, der Bedeutung von IT für die heutige Arbeitswelt. Naturgemäß arbeitet längst nicht jeder Angestellte Deutschlands ständig ausschließlich am Computer. Allerdings ist die Zahl von Berufen, die wirklich gar keinen Kontakt zum Digitalen mehr haben, äußerst überschaubar geworden und in manchen Sparten schlichtweg nicht mehr vorhanden.
Rund 33 Millionen Erwerbstätige arbeiteten hierzulande schon 2019 wenigstens gelegentlich mit Computern oder computergesteuerten Geräten – von 39,5 Millionen Arbeitenden insgesamt.
Selbst der klassische Bauhandwerker trägt höchstwahrscheinlich zumindest seine Arbeitsstunden in ein entsprechendes Zeiterfassungssystem ein und arbeitet mit digital vorhandenen Plänen. Der Fahrradmechaniker wird wenigstens Teile digital bestellen und Kundentermine ebenso festhalten. Sogar der moderne Brennholzlieferant wäre verloren, würde er sich nicht durch einen irgendwie gearteten Netzauftritt in der enormen Menge von Konkurrenten sichtbar machen und Onlinebanking betreiben.
Egal, wohin man blickt, überall gibt es wenigstens eine kleine berufliche Brücke in die Welt der IT. Damit ist faktisch jeder Arbeitsplatz ein Teil des Gesamtsystems, zu dem unter anderem die Sicherheit gehört. Und IT-erfahrene Leser wissen: Jeder Nutzer kann durch sein Verhalten zum Einfallstor werden, einfach weil Cyberkriminelle jede Lücke kennen und auszunutzen bereit sind.
2. Den Menschen übergehende Sicherheitssysteme sind nicht immer möglich
IT-Laien ein Thema wie Cybercrime und Sicherheit verständlich näherzubringen – zudem noch regelmäßig – ist definitiv keine leichte Aufgabe. Schließlich ist es dabei nötig, ein im Höchstmaß vielschichtiges und komplexes Profiwissen an Menschen zu vermitteln, die häufig nur rudimentäre Anwenderkenntnisse besitzen. Das benötigt nicht nur didaktische Fähigkeiten, sondern ebenso den Aufbau von bei vielen nichtvorhandenem Basiswissen. Definitiv eine Sisyphusarbeit.
Mancher mag angesichts solcher Schwierigkeiten nun der Ansicht sein, dann könne man sich das Thema Schulungen sparen, indem man IT-Sicherheit einfach auf eine Weise aufbaut und konfiguriert, durch die sie sich nicht mehr auf menschliches Wohlverhalten stützt – was beim Thema Arbeitssicherheit ja schließlich auch schon seit Jahren praktiziert wird.
Der grundsätzliche Denkansatz ist definitiv richtig. Ja, IT-Sicherheit sollte sich an möglichst vielen Stellen auf Mechanismen stützen, die schlicht durch ihre Gestaltung kein grobes Fehlverhalten zulassen. Denken wir etwa an Mitarbeiter-PCs, die keine Slots für USB-Sticks oder SD-Karten haben und dadurch einfach nicht zum Einfallstor für den berühmten Trick „augenscheinlich verlorener Massespeicher auf dem Firmenparkplatz“ werden können. Die Masche mag zwar alt sein, wird aber nach wie vor aufgrund ihrer Wirksamkeit praktiziert.
Just das ist jedoch das Problem: Es ist in vielen Firmen nicht möglich, die IT-Sicherheit auf ein solches Fundament zu stellen.
- Das Thema Geld,
- Unverständnis der Führungsetage,
- alltägliche praktische Erwägungen aufgrund betrieblicher Notwendigkeiten.
Solche Dinge stehen in vielen Häusern gegen die Errichtung einer von menschlichem Wohlverhalten unabhängigen IT-Sicherheit. Und wohl viele IT-Profis wissen: Es gibt Chefs, die sich in dieser Hinsicht nicht einmal durch noch so schlüssige Argumente überzeugen lassen.
Nicht zuletzt muss man bedenken, wie sehr eine wirklich hochwertige IT-Security unabwendbar zulasten der restlichen Arbeit gehen kann. Die digitale Sicherheit muss sich deshalb in vielen Unternehmen anderen, für das Business nicht minder notwendigen, Erwägungen unterordnen.
3. KI wird in den kommenden Monaten und Jahren das Thema Cyberangriffe massiv verändern
Erst vor wenigen Tagen veröffentlichten wir einen Artikel darüber, wie KI und der Algorithmus von ChatGPT dazu geeignet sind, die Bekämpfung von Cybercrime zu revolutionieren. Wer angesichts dessen allerdings glaubt, damit wäre ein endgültiger Sieg über diese Kriminellen in greifbare Nähe gerückt, der täuscht sich leider gewaltig.
Sowohl KI im Allgemeinen als auch Anwendungen wie ChatGPT im Besonderen sind in jeglicher Hinsicht „Dual-Use-Technologien“. Heißt, sie können ebenso zur Abwehr wie zum Angriff dienen. Schon jetzt zeigt der aktuell wohl berühmteste Chatbot, auf welche Weise sich dadurch Maschen perfektionieren lassen:
- Das Thema Rechtschreibung, Wortwahl und Grammatik wird dadurch insbesondere bei Phishing-Attacken immer weniger zu einem bedeutenden Hinweis. KI gestattet eine buchstäblich sinngemäße Übersetzung aus anderen Sprachen, wodurch jedem Hacker äußerst überzeugende „Köder“ möglich werden.
- Aus ähnlichen Gründen dürften Angriffsvektoren wie die CEO-Masche und artverwandte Herangehensweisen enorm zunehmen; sowohl in schriftlicher als auch gesprochener Form. Erst vor wenigen Tagen wurde dies der Welt deutlich gemacht: Das Startup ElevenLabs hatte gerade die Beta-Version seines KI-gestützten Stimmen- und Sprach-Tools freigeschaltet. Prompt wurde es von 4Chan-Usern genutzt, um vermeintliche Prominente rassistische und andere Hetztiraden sprechen zu lassen. So wurde das Tool beispielsweise missbraucht, um die Stimme der Schauspielerin Emma Watson zu faken, wie sie aus „Mein Kampf“ vorliest. In diesem Fall war es zwar „nur“ typisches Getrolle. Jedoch ist naheliegend, wie rasch damit die Stimmen von Vorgesetzten imitiert werden können und wie leicht sich menschlich wirkende Dialoge gestalten lassen – selbst für die meisten IT-Profis am Telefon nicht vom echten Vorgesetzten unterscheidbar.
Naturgemäß werden die Betreiber solcher KI mit der Zeit Sicherheitsbarrieren aufbauen, die eine missbräuchliche Nutzung erschweren. Sich allein darauf zu verlassen, wäre jedoch fahrlässig. Denn, das zeigt die jüngste Vergangenheit ebenfalls, viele Lücken offenbaren sich erst, wenn tatsächlich missbräuchliche Nutzungen erfolgen.
4. Sowohl Aufklärung als auch Strafverfolgung von Cybercrime enden zu oft im Nirgendwo
Ein Hacker hat es geschafft: Über die Nutzung eines KI-Sprachgenerators oder geschicktes Phishing konnte er beispielsweise einen Mitarbeiter der Firmenbuchhaltung überzeugen, eine beträchtliche Summe auf ein Konto zu überweisen. Ein typischer Fall, wie er weltweit täglich vorkommt.
Nun könnte mancher vielleicht versucht sein, mit den Schultern zu zucken:
- Rückbuchungen sind möglich. Außerdem gibt es bei betrügerischen Überweisungen dank des Paragraphen 675u im BGB umfassende Rückerstattungsansprüche.
- Selbst die digital etwas rückständigen Polizeien sind mittlerweile gegenüber Cybercrime deutlich fähiger geworden – nicht zuletzt dank der Einrichtung spezieller Abteilungen im BKA und diversen LKA.
Heißt, es gibt viele Fälle von Cybercrime, bei denen der Schaden theoretisch und praktisch nur temporärer Natur ist. Dies allerdings als Ausrede zu nutzen, um eine ständige Schulung der Mitarbeiter zu unterlassen, wäre erneut äußerst fahrlässig:
- Selbst ein temporärer Schaden bedeutet für jedes Unternehmen stets Verzögerungen und andere Probleme, die allesamt regelrecht geschäftsschädigend sein können.
- Jede Form von Betrug muss überhaupt erst einmal erkannt und nachgewiesen werden. Wurde sie nur durch fahrlässiges Verhalten ermöglicht oder maßgeblich erleichtert, dann kann es sogar äußerst schwierig werden, den Schaden behoben zu bekommen.
- Nicht jeder Hacker hat es bei Attacken auf Firmen nur auf Geld abgesehen. Einmal entwendete Geheimnisse sind ganz einfach unwiederbringlich verloren und in falsche Hände gelangt.
- Cybercrime ist schlicht und ergreifend häufig grenzüberschreitend. Doch so gut manche Länder bei der Polizeiarbeit miteinander kooperieren, so wenig funktioniert diese Zusammenarbeit mit allen Ländern. Viel zu häufig verlaufen deshalb Ermittlungen im Sande, weil die Polizeien anderer Staaten nicht mithelfen können oder möchten.
- Selbst eine erfolgreiche Zusammenarbeit bedingt das Vorhandensein von Spuren. Bloß hinterlässt nicht jeder digitale Kriminelle solche. Zumindest keine, die eine Ermittlung in irgendeine gezielte Richtung ermöglichen würden.
Cybercrime bleibt einfach zu häufig ein unaufgeklärtes oder unbestraftes Vorgehen. In Deutschland beispielsweise betrug die Aufklärungsquote 2021 keine 30 Prozent. Zumal das polizeiliche „Aufgeklärt“ nur bedeutet, dass wenigstens ein Tatverdächtiger mit Klarnamen ermittelt werden konnte. Nur ein Verdächtiger, kein tatsächlich überführter und verurteilter Täter.
Niemals sollte es deshalb ein Abwägen geben, was auf lange Sicht kostspieliger sei. Dabei wird das Risiko erfolgreicher Attacken stets alles andere deutlich überwiegen.
Zusammengefasst: Mitarbeiterschulung ist vollkommen alternativlos
Wir leben heute in einer Zeit, in der IT zu den allermeisten Arbeitsplätzen wenigstens anteilig dazugehört. Damit kann faktisch jeder Arbeitnehmer durch sein Verhalten die Sicherheit massiv schwächen.
Insbesondere, weil die schon heute äußerst vielfältigen und trickreichen Angriffsvektoren kurz- bis mittelfristig durch KI noch viel gefährlicher werden, gibt es buchstäblich keine Alternative dazu, jeden Mitarbeiter in regelmäßigen Abständen zum Themenkomplex Cybercrime und IT-Sicherheit zu schulen. Nur, wenn eine Awareness für die Dimensionen des Problems und die mannigfaltigen Herangehensweisen besteht, kann ein entsprechendes Verhalten aufkommen, durch das selbst IT-Laien sich entsprechend verhalten.
Nur das gestattet eine echte Gefahrenabwehr, wohingegen viele andere Maßnahmen sich nur auf Schadensminimierung fokussieren können.